Il Garante per la protezione dei dati personali ha chiarito che l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell’ente”. Pertanto, riguardo ai trattamenti dei dati personali svolti nelle sue funzioni, ha escluso che l’Organismo di Vigilanza possa essere qualificato come titolare autonomo o come responsabile del trattamento.
Deve essere, quindi, l’ente, quale titolare del trattamento, a definire il perimetro e le modalità di esercizio dei compiti assegnati all’organismo, nonché il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. In particolare, l’ente dovrà designare i singoli membri dell’OdV come soggetti autorizzati, i quali dovranno attenersi alle istruzioni del titolare.