g-docweb-display Portlet

Provvedimento del 1° giugno 2021 [9592011]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE COMUNICATO STAMPA DEL 1° GIUGNO 2021

[doc. web n. 9592011]

Provvedimento del 1° giugno 2021

Registro dei provvedimenti
n. 223 del 1° giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO l’art. 154, comma 1, lett. f) e g) del Codice;

VISTA la segnalazione presentata al Garante ai sensi dell’art. 144 del Codice in data 12 maggio 2021 (come integrata in data 19 maggio 2021), con la quale l’Associazione Movimento 5 Stelle (di seguito, “Movimento” o “Movimento 5 Stelle”), nella persona del legale rappresentante pro-tempore Vito Claudio Crimi, rappresentata e difesa dall’Avv. Francesco Cardarelli, a seguito della diffida con la quale ha intimato all’Associazione Rousseau, responsabile del trattamento dei dati degli iscritti al Movimento, la consegna dei dati riferiti agli iscritti al Movimento medesimo, l’immediata messa a disposizione dei domini dei siti “movimento5stelle.it” e “tirendiconto.it”, nonché “nelle more, di astenersi da ogni forma di trattamento che non sia necessario per l’adempimento di obblighi di legge”, ha chiesto all’Autorità di intervenire nell’esercizio dei poteri correttivi di cui all’art. 58, par. 2, lett. d) del Regolamento;

VISTA la nota del 14 maggio 2021 con la quale il dott. XX, in qualità di responsabile della protezione dati del Movimento 5 Stelle e dell’Associazione Rousseau, nel rilevare di avere ricevuto richieste di trasferimento dei dati personali degli iscritti al Movimento “da parte di due persone fisiche che dichiarano entrambe di avere la legittimità di effettuare tale istanza”, ha chiesto al dott. Vito Crimi di conoscere, “preventivamente all’avvio di qualsiasi attività di trattamento dei dati (…) quali siano le politiche adottate in materia di protezione dei dati personali, compresa l’attribuzione delle responsabilità di tutte le figure coinvolte, al fine di considerare debitamente i rischi inerenti al trattamento e relativi alla specifica natura, all’ambito di applicazione, al contesto e alle finalità del medesimo”;

VISTA la nota del 17 maggio 2021 con la quale il Movimento 5 Stelle, nel rinviare – in ordine al profilo della rappresentanza legale - ad un parere pro veritate del notaio XX prodotto in allegato, ha affermato che “data la situazione apertamente conflittuale tra titolare del trattamento (Movimento 5 Stelle) e responsabile (Associazione Rousseau)”, si è reso necessario intimare al predetto responsabile la consegna immediata dei dati degli iscritti “a tutela dei diritti del Movimento nonché degli interessi legittimi e dei diritti degli iscritti stessi”; ciò, conformemente a quanto prevede l’art. 28, par. 3, lett. g) del Regolamento in base al quale “su scelta del titolare del trattamento”, il responsabile è tenuto a  cancellare o a restituire tutti i dati personali e a provvedere alla cancellazione delle copie esistenti quando sia terminata la prestazione dei servizi relativi al trattamento, “salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati"; nella medesima nota il Movimento, nell’affermare di avere provveduto alla nomina di nuovi soggetti quali responsabili del trattamento (Corporate Advisor s.r.l., Isa s.r.l. e Notaio in Roma dott. XX), ha altresì illustrato precise modalità tecniche di trasferimento dei dati in questione (rilascio di copia forense su due supporti cifrati, alla presenza di consulente tecnico forense del Movimento e consegna direttamente al titolare o a un suo delegato; la chiave di cifratura dei supporti dovrà essere consegnata direttamente al titolare tramite canale di comunicazione crittografato) nonché le modalità e i requisiti di sicurezza per la tenuta e la conservazione dei dati stessi (come da all. C) e D) alla nota);

VISTA la nota del 19 maggio 2021 con la quale il Responsabile per la protezione dei dati, nel ribadire di avere ricevuto la medesima richiesta di trasferimento dei dati da due persone fisiche che si dichiarano entrambe legittimate e che “ad oggi non vi è da parte di nessuno dei due soggetti una cessazione della stessa richiesta”, ha espresso perplessità in ordine alle garanzie illustrate nella nota del 17 maggio 2021 ed ha chiesto “di conoscere, attraverso le nomine attuate e le istruzioni impartite ai soggetti che interverranno ai sensi dell’art. 28 del GDPR nelle attività di trattamento dei dati, le valutazioni svolte nei loro riguardi in merito alle capacità degli stessi di garantire un livello di sicurezza adeguato al rischio”;

VISTA la nota fatta pervenire in pari data dal Movimento 5 Stelle ad  integrazione della segnalazione del 12 maggio 2021, con la quale, nel ribadire che per quanto attiene l’asserito difetto di legittimazione valgono le considerazioni contenute nel parere pro veritate sopra citato, è stato evidenziato che, nella fattispecie sottoposta all’attenzione dell’Autorità, sussistono “evidenti violazioni delle disposizioni del Regolamento imputabili al Responsabile del trattamento”, con particolare riferimento a:

a) inosservanza del disposto di cui all’art. 28, par. 3, lett. g) del Regolamento che prevede in capo al Responsabile l’obbligo di restituire tutti i dati, “su scelta del titolare del trattamento”, “senza alcuna condizione, limitazione o eccezione di sorta, pertinendo eventuali opposizioni ad una sfera patrimoniale non contemplata dalle disposizioni eurounitarie di riferimento e del tutto estranea alla cognizione dell’Autorità di controllo adita in questa sede ai soli fini del rispetto delle norme del Regolamento UE”;

b) inosservanza delle istruzioni impartite dal titolare del trattamento, in quanto l’Associazione Rousseau, successivamente alla diffida del 12 maggio u.s., avrebbe posto in essere un ulteriore trattamento dei dati degli iscritti tramite l’invio massivo “ di email di sollecito agli eletti del Movimento (email non sollecitata né autorizzata dal Movimento 5 Stelle), chiedendo il pagamento di contributi e utilizzando artatamente una casella di posta elettronica riconducibile al Movimento (audit@movimento5stelle.it)”;

c) parimenti, l’Associazione Rousseau avrebbe posto in essere un ulteriore trattamento di dati degli iscritti in quanto, utilizzando il dominio del Movimento, avrebbe inviato agli iscritti medesimi una mail con la quale gli stessi venivano invitati a rivolgersi al Responsabile per la protezione dati per chiedere il trasferimento dei loro dati dall’Associazione Movimento 5 Stelle all’Associazione Rousseau “che da quel momento può divenire anch’essa titolare autonomo del trattamento”;

VISTA la nota del 20 maggio 2021 con la quale l’Associazione Rousseau ha dichiarato che fino al completamento del procedimento avviato dinanzi all’Autorità “si asterrà – così come fino ad oggi si è astenuta – dal porre in essere qualsivoglia attività che si possa qualificare quale trattamento dei dati degli interessati rispetto ai quali è designata quale “Responsabile del trattamento, limitandosi alle sole attività riguardanti i trattamenti necessari a garantire i servizi essenziali richiesti dagli interessati”;

VISTE le note del 24 e 27 maggio 2021 con le quali l’Autorità ha invitato l’Associazione Rousseau a fornire informazioni e chiarimenti in ordine a quanto asserito dal Movimento 5 Stelle nella nota del 19 maggio u.s. relativamente ai trattamenti dei dati degli iscritti e degli eletti (v. supra lett. b) e c)), nonché in ordine all’esistenza di un qualsivoglia atto e/o documento concernente la designazione dell’Associazione Rousseau quale responsabile del trattamento, successivo all’atto di incarico conferito da Giuseppe Grillo in data 25 aprile 2016 e già agli atti dell’Autorità;

VISTA la nota del 27 maggio 2021 con la quale l’Associazione Rousseau, nel fornire riscontro alle richieste formulate dall’Autorità, oltre ad alcune considerazioni preliminari concernenti il profilo della capacità e della legittimazione del Sig. Vito Crimi ad agire “quale persona a cui sarebbe, allo stato, attribuita la rappresentanza legale del Movimento” (secondo un parere pro veritate redatto dal dott. XX notaio in Roma, nominato al contempo responsabile del trattamento) e, di conseguenza, quale titolare del trattamento nei rapporti con l’Associazione Rousseau, ha affermato che:

1) quanto all’asserita violazione del disposto di cui all’art. 28, par. 3, lett. g) del Regolamento, l’Associazione Rousseau “non si è rifiutata di aderire alle richieste del titolare ponendo piuttosto il tema (…) di voler ricevere ed aderire ad istruzioni impartite da un soggetto effettivamente munito della capacità di esprimere la volontà dell’Associazione titolare dei dati”; inoltre, “l’art. 28, par. 3 anzi citato prevede che “[i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento]” e che detto contratto (che l’Associazione Movimento 5 Stelle non ha prodotto) può prevedere, inter alia, quanto ivi previsto sub lett. g); conseguentemente l’art. 28, par. 3, lett. g) non sancisce un principio direttamente applicabile se non trasfuso in un contratto o in altro atto giuridico a norma del diritto dell’Unione o degli Stati membri”; 

2) in ordine all’asserito invio massivo di email di sollecito agli eletti per il pagamento dei contributi, oltre a “non corrispondere al vero” che la casella di posta elettronica audit@movimento5stelle.it sia riconducibile al Movimento, in base alle norme statutarie (che fanno rinvio ad un apposito regolamento) l’Associazione Rousseau ha il diritto di percepire dagli eletti (parlamentari nazionali, europei e consiglieri regionali) un contributo “a fronte del quale eroga una serie di servizi, resi attraverso l’utilizzo di diverse piattaforme funzionali allo scopo, tra cui la c.d. piattaforma “Tirendiconto””;  ne deriva che “la comunicazione inviata in data 12 maggio 2021, non costituisce attività di trattamento dei dati effettuata in qualità di responsabile del trattamento dei dati del Movimento 5 Stelle, bensì come autonomo titolare nell’ambito del servizio “Tirendiconto” che l’Associazione Rousseau eroga ai singoli parlamentari e/o consiglieri regionali del Movimento 5 Stelle”; essa infatti “non costituisce affatto un unicum, trattandosi di una mail periodica che viene trasmessa ogni mese nell’ambito del rapporto intercorrente tra il titolare Associazione Rousseau e gli interessati (…); si precisa inoltre che il dominio https://www.movimento5stelle.it/ (e dunque il relativo dominio mail collegato) è di proprietà dell’Associazione Rousseau e non del Movimento (…)”;

3) quanto all’invio di mail con le quali gli iscritti sarebbero stati invitati a rivolgersi al DPO chiedendo il trasferimento dei dati all’Associazione Rousseau, quest’ultima ha dichiarato che “nessuna mail è stata inviata del tenore di quella di cui alla richiesta di chiarimento”;

4) con riferimento, infine, all’eventuale esistenza di un contratto o di altro documento che disciplini il rapporto tra titolare e responsabile, l’Associazione Rousseau, ha dichiarato che, solo a seguito dell’eventuale riscontro che sarà eventualmente fornito dal titolare del trattamento, “si riserva una compiuta replica”;

CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

CONSIDERATO che, allo stato della documentazione in atti, anche acquisita dall’Autorità nel corso di una precedente istruttoria che ha coinvolto i medesimi soggetti, il Movimento 5 Stelle e l’Associazione Rousseau risultano, rispettivamente, quali titolare e responsabile del trattamento dei dati personali degli iscritti al Movimento (come da atto di designazione di Giuseppe Grillo in data 25.4.2016);

RILEVATO che in occasione della richiesta di accesso avanzata dal Sig. Vito Crimi ai sensi della legge n. 241/1990 alla documentazione relativa al fascicolo concernente la violazione dei sistemi informativi della c.d. piattaforma Rousseau, l’Autorità ha ritenuto di dover consentire all’istante l’accesso medesimo, anche quale membro anziano del Comitato di garanzia ai sensi dell’art. 7, lett. d) dello Statuto dell’Associazione Movimento 5 Stelle;

PRESO ATTO che, alla luce delle dichiarazioni rese nel corso del presente procedimento, l’Associazione Rousseau ha confermato di rivestire il ruolo di responsabile del trattamento e di detenere i dati personali degli iscritti al Movimento 5 Stelle in qualità di responsabile del trattamento e, in parte, anche quale autonomo titolare del trattamento;

PRESO ATTO, altresì, delle dichiarazioni rese dall’Associazione Rousseau in riscontro alla richiesta di chiarimenti formulata dall’Autorità, sia in ordine ai trattamenti dei dati degli iscritti e degli eletti che sarebbero stati posti in essere in violazione delle istruzioni impartite dal titolare del trattamento mediante i relativi domini; rilevato in particolare che, alla luce di quanto dichiarato, non emergono profili di illiceità dei trattamenti medesimi;

RILEVATO che in base all’art. 28, par. 3, lett. g) del Regolamento, il responsabile del trattamento, “su scelta del titolare del trattamento”, è tenuto a cancellare o a restituire tutti i dati personali “dopo che è terminata la prestazione dei servizi relativi al trattamento” e a provvedere alla cancellazione delle copie esistenti “salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati"; ritenuto che la predetta disposizione debba trovare applicazione anche laddove l’atto regolatorio del rapporto titolare/responsabile non lo preveda espressamente ovvero, come nel caso esame, sia precedente alla data di entrata in vigore del Regolamento (come da atto di designazione dell’Associazione Rousseau quale responsabile del trattamento del 25 aprile 2016); ciò allo scopo di tutelare - nel momento in cui subentri un rapporto conflittuale tra le parti - gli interessi del titolare del trattamento e, in particolar modo, degli interessati che abbiano nel corso degli anni conferito i propri dati al Movimento 5 Stelle sulla base dell’informativa dal medesimo resa;

RITENUTO che, essendo circostanza incontestata che il Movimento sia il titolare del trattamento, è di conseguenza pacifico che, in tale qualità, abbia diritto di disporre dei dati personali degli iscritti per utilizzarli, limitatamente al perseguimento delle proprie finalità. Tali dati, pertanto, potranno essere utilizzati per il perseguimento delle sole finalità istituzionali del Movimento per le quali tali dati sono stati ad esso conferiti;

RITENUTO pertanto che, con riferimento alla richiesta di consegna dei dati personali degli iscritti al Movimento ricorrano i presupposti per un intervento correttivo dell’Autorità ai sensi dell’art. 58. par. 2, lett. d) del Regolamento; ritenuto quindi di dover ingiungere all’Associazione Rousseau di provvedere, quale responsabile del trattamento, a dare attuazione al disposto di cui all’art. 28, par. 3, lett. g) mediante consegna al Movimento 5 Stelle, nelle forme e secondo le modalità indicate dal titolare medesimo, di tutti i dati personali degli iscritti al Movimento, di cui l’Associazione risulti responsabile, entro 5 (cinque) giorni dal ricevimento del presente provvedimento; ciò fermo restando l’ulteriore trattamento dei dati personali di quegli iscritti rispetto ai quali l’Associazione Rousseau sia al contempo autonomo titolare del trattamento. Nelle more della consegna al Movimento dei dati in questione, Associazione Rousseau dovrà astenersi da ogni ulteriore trattamento dei dati stessi, tranne esplicite, specifiche richieste del Movimento;

RITENUTA La necessità di adottare un provvedimento di urgenza in ordine al trattamento dei dati in questione e che tali ragioni non consentono, allo stato, la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell'organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web n. 1098801);

Vista la documentazione in atti;

TUTTO CIO’ PREMESSO IL GARANTE:

a) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ingiunge nei confronti dell’Associazione Rousseau, responsabile del trattamento dei dati degli iscritti al Movimento 5 Stelle, di adempiere al disposto di cui all’art. 28, par. 3, lett. g) del Regolamento provvedendo a consegnare al predetto Movimento titolare del trattamento, nelle forme e secondo le modalità indicate dallo stesso, tutti i dati personali degli iscritti al Movimento medesimo, di cui l’Associazione sia responsabile del trattamento; si ingiunge altresì di astenersi da ogni ulteriore trattamento dei dati personali in questione nei termini di cui in motivazione;

b) la predetta consegna dovrà avvenire entro 5 (cinque) giorni dalla data di ricezione del presente provvedimento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° giugno 2021

IL PRESIDENTE
Stanzione