Il Garante per la protezione dei dati personali ingiunge all’Associazione Rousseau di consegnare i dati degli iscritti al Movimento 5 Stelle

Il Garante per la protezione dei dati personali ha recentemente ordinato (con provvedimento datato 1 giugno 2021) all’Associazione Rousseau di consegnare al Movimento 5 Stelle tutti i dati personali degli iscritti al Movimento stesso.

Il provvedimento è stato adottato d’urgenza all’esito dell’istruttoria avviata dal Garante dopo la segnalazione presentata dal Movimento 5 Stelle in applicazione del Regolamento (UE) 2016/679, “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati)”, e del Codice in materia di protezione dei dati personali recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101). In quest’ultimo caso il riferimento è all’art. 154, comma 1, lett. f) e g) del Codice.

I fatti sono noti anche per la loro rilevanza mediatica. L’Associazione “Movimento 5 Stelle” in persona del legale rappresentante p.t. Vito Crimi aveva intimato all’Associazione Rousseau, responsabile del trattamento dei dati degli iscritti al Movimento, la consegna dei dati e l’immediata messa a disposizione dei domini dei siti “movimento5stelle.it” e “tirendiconto.it”. 

Ha poi chiesto al Garante per la Privacy di intervenire nell’esercizio dei poteri correttivi previsto dall’art. 58, par. 2, lett. d) del Regolamento.

Il Movimento, nelle note inoltrate all’Autorità, ha lamentato evidenti violazioni delle disposizioni del Regolamento imputabili al Responsabile del trattamento, in particolare:

a) inosservanza dell’art. 28, par. 3, lett. g) del Regolamento UE, che prevede in capo al Responsabile l’obbligo di restituire tutti i dati “su scelta del titolare del trattamento” “senza alcuna condizione, limitazione o eccezione di sorta, pertinendo eventuali opposizioni ad una sfera patrimoniale non contemplata dalle disposizioni eurounitarie di riferimento", e quindi estranea alla cognizione del Garante adita dal Movimento ai soli fini del rispetto delle norme del Regolamento UE;

b) inosservanza delle istruzioni impartite dal titolare del trattamento, in quanto l’Associazione Rousseau, successivamente alla diffida del 12 maggio u.s., avrebbe posto in essere un ulteriore trattamento dei dati degli iscritti, tramite l’invio massivo “di email di sollecito agli eletti del Movimento (email non sollecitata né autorizzata dal Movimento 5 Stelle), chiedendo il pagamento di contributi e utilizzando artatamente una casella di posta elettronica riconducibile al Movimento (audit@movimento5stelle.it)”;

c) inoltre l’Associazione Rousseau avrebbe posto in essere un ulteriore trattamento di dati degli iscritti in quanto, utilizzando il dominio del Movimento, avrebbe inviato agli stessi una mail con la quale venivano invitati a rivolgersi al Responsabile per la protezione dati per chiedere il trasferimento dei loro dati dall’Associazione Movimento 5 Stelle all’Associazione Rousseau “che da quel momento può divenire anch’essa titolare autonomo del trattamento”.

Nell’ambito del procedimento l’Associazione Rousseau, ha a sua volta sostenuto:

1) l’insussistenza della violazione dell’art. 28, par. 3, lett. g) del Regolamento, non essendo certo che il soggetto richiedente sia “effettivamente munito della capacità di esprimere la volontà dell’Associazione titolare dei dati”; 

2) in ordine all’asserito invio massivo di email di sollecito agli eletti per il pagamento dei contributi, che il fatto non corrispondeva al vero perché la casella di posta elettronica audit@movimento5stelle.it non era riconducibile al Movimento, e che la comunicazione inviata in data 12 maggio 2021, non costituiva attività di trattamento dei dati effettuata in qualità di responsabile del trattamento dei dati del Movimento 5 Stelle.

Nel provvedimento di urgenza adottato, il Garante precisa che dalla documentazione acquisita sin qui dall’Autorità il Movimento 5Stelle e l’Associazione Rousseau risultano essere, rispettivamente, titolare e responsabile del trattamento dei dati degli iscritti al Movimento.

Ciò tenuto pure conto che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”).

Inoltre, nel corso del procedimento, sottolinea il Garante, l’Associazione Rousseau ha confermato di rivestire il ruolo di responsabile del trattamento e di detenere i dati personali degli iscritti al Movimento 5 Stelle in qualità di responsabile del trattamento e, solo in parte, anche quale autonomo titolare del trattamento. 

In base alla normativa sulla privacy, il responsabile, "su scelta del titolare del trattamento dei dati", è tenuto a cancellare o restituire tutti i dati personali, "dopo che è terminata la prestazione dei servizi richiesti relativi al trattamento". Questa disposizione, precisa il Garante, deve essere applicata in tutti i casi che regolano il rapporto titolare-responsabile.

Tale disposizione deve trovare applicazione anche laddove l’atto regolatorio del rapporto titolare/responsabile non lo preveda espressamente, ovvero - come nel caso esaminato - sia precedente alla data di entrata in vigore del Regolamento (come da atto di designazione dell’Associazione Rousseau quale responsabile del trattamento del 25 aprile 2016); ciò allo scopo di tutelare - nel momento in cui subentri un rapporto conflittuale tra le parti - gli interessi del titolare del trattamento e, in particolar modo, degli interessati che abbiano nel corso degli anni conferito i propri dati al Movimento 5 Stelle sulla base dell’informativa dal medesimo resa. 

In quanto titolare del trattamento il Movimento ha quindi diritto di disporre dei dati degli iscritti, e di poterli utilizzare per i suoi fini istituzionali.

L’Associazione Rousseau dovrà quindi consegnare al Movimento 5 Stelle, entro 5 giorni dalla comunicazione del provvedimento, i dati degli iscritti di cui l’Associazione risulti responsabile. 

Potrà invece continuare ad utilizzare i dati di quegli iscritti rispetto ai quali sia anche titolare del trattamento. 

Nel dispositivo del provvedimento l’Autorità di garanzia ha quindi:

a) “ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ingiunto nei confronti dell’Associazione Rousseau, responsabile del trattamento dei dati degli iscritti al Movimento 5 Stelle, di adempiere al disposto di cui all’art. 28, par. 3, lett. g) del Regolamento provvedendo a consegnare al predetto Movimento titolare del trattamento, nelle forme e secondo le modalità indicate dallo stesso, tutti i dati personali degli iscritti al Movimento medesimo, di cui l’Associazione sia responsabile del trattamento; si ingiunge altresì di astenersi da ogni” ulteriore trattamento dei dati personali in questione nei termini di cui in motivazione;

b) prescritto che la predetta consegna avvenga entro 5 (cinque) giorni dalla data di ricezione del provvedimento.

Avverso tale provvedimento ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, potrà essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al Tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Allegati

Ok
Questo website usa solamente cookies tecnici per il suo funzionamento. Maggiori dettagli