OdV e RPD sono ruoli compatibili?

La regola “tutto ciò non espressamente vietato è permesso” non è sempre applicabile, l'assunto riveste particolare significatività quando i ruoli di Organismo di Vigilanza (OdV) e di Responsabile della Protezione Dati (RPD) sono affidati allo stesso soggetto. Le norme di riferimento, rispettivamente il D.Lgs. 231/2001 ed il Regolamento UE 2016/679, nulla dicono al riguardo, si limitano solamente a delineare le caratteristiche che devono avere i due Organismi. A parere di chi scrive, proprio in relazione alle caratteristiche delineate, l'affidamento del duplice ruolo allo stesso soggetto può generare non poche situazioni di conflitto d'interessi e altresì correre il rischio di far coincidere il controllore con il controllato. L'art. 6, c. 1, lett. b) D.Lgs. 231/2001 prescrive che l'ente non risponde della responsabilità amministrativa se prova che “il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e controllo”, pertanto all'OdV sono affidati compiti (esclusivi) di vigilanza su funzionamento e osservanza del modello, nonché di curarne l'aggiornamento, e non può e non deve interferire nella gestione aziendale. Qualora nel corso delle verifiche dovesse riscontrare aspetti gestionali contrari o non conformi alle regole...