Garante Privacy, perché lo stop a Rousseau sui dati e che succede ora - Agenda Digitale

Movimento5Stelle

Garante Privacy, perché lo stop a Rousseau sui dati e che succede ora

I dati appartengono all’Associazione MoVimento 5 Stelle, mentre il responsabile del trattamento è l’Associazione Rousseau, dice il Garante Privacy, che ne blocca il trattamento e ordina di consegnare i dati a Vito Crimi. Un provvedimento necessario, ecco gli scenari che si aprono

01 Giu 2021
Massimo Borgobello

Avvocato a Udine, co-founder dello Studio Legale Associato BCBLaw, PHD e DPO Certificato 11697:2017

Il Garante ha ravvisato la necessità di adottare un provvedimento di urgenza in cui ingiunge a Rousseau di non effettuare ulteriori trattamenti dei dati degli iscritti al MoVimento5Stelle (M5S) e di consegnare i dati al reggente, Vito Crimi entro il 5 giugno. Vediamo perché è stato necessario farlo e quali conseguenze.

Il MoVimento è il titolare del trattamento, mentre Rousseau è il responsabile del trattamento

La sostanza del provvedimento può essere riassunta così: i dati appartengono all’Associazione MoVimento 5 Stelle, mentre il responsabile del trattamento, per designazione effettuata dal garante del MoVimento, Beppe Grillo, nel 2016, è l’Associazione Rousseau.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Posto che il titolare del trattamento può, ai sensi dell’articolo 28, Comma 3, lettera g), del Regolamento UE 16/679 (G.D.P.R.) richiedere al responsabile di restituire tutti i dati, senza alcuna condizione, limitazione o eccezione di sorta, sul solo presupposto di una propria scelta discrezionale, non sembrerebbe esserci discussione.

La questione però si è complicata perché è sub iudice l’individuazione del legale rappresentante del MoVimento, ragion per la quale è pendente un giudizio avanti al Tribunale di Cagliari.

Per superare la questione, il MoVimento, che ha presentato una segnalazione ai sensi dell’articolo 144 del Codice privacy il 12 maggio 2021 (integrandola il 19 maggio 2021), ha chiesto e prodotto un parere pro veritate ad un notaio.

Nel parere si afferma con chiarezza che il legale rappresentante è, a tutti gli effetti, Vito Crimi, pur restando aperto il giudizio avanti al tribunale sardo.

Il Garante, che in altre occasioni aveva ritenuto Vito Crimi legittimato come legale rappresentante del MoVimento, ha accolto la tesi ed emesso il provvedimento nei confronti di Rousseau.

Garante privacy su Movimento5Stelle, le ragioni dell’urgenza

Il Garante per il trattamento dei dati personali ha affermato che sussistessero ragioni d’urgenza perché, nelle more, l’Associazione ha effettuato due distinti trattamenti: uno per richiedere ai parlamentari iscritti al MoVimento il pagamento delle quote previste e uno con un invio massivo agli iscritti per richiedere l’autorizzazione rivolgersi al Responsabile per la protezione dati per chiedere il trasferimento dei loro dati dall’Associazione MoVimento 5 Stelle all’Associazione Rousseau.

In altri termini, Rousseau ha contattato direttamente gli iscritti dando loro indicazione di trasferire i dati dal MoVimento a Rousseau, con fine di far diventare quest’ultima titolare effettivo.

A quanto si legge dal provvedimento del Garante, Rousseau ha negato tout court la paternità del dominio da cui è stata inviata la mail di sollecito ai parlamentari e a negare di aver inviato alcuna email con indicazioni agli iscritti.

Nel frattempo, comunque, il MoVimento aveva designato un altro responsabile per il trattamento dei dati e il responsabile per la protezione dei dati (R.P.D. o D.P.O.) aveva segnalato al Garante che vi erano due distinte persone fisiche che affermavano di essere titolari effettivi del trattamento.

Gli scenari futuri

La decisione d’urgenza è per sua natura precaria, perché presa da organo monocratico, e deve essere ratificata dal Collegio del Garante nella riunione immediatamente successiva e, comunque, non oltre il tredicesimo giorno dall’emissione del provvedimento.

Ricorso al tribunale?

Ai sensi dell’articolo 78 del Regolamento, nonché degli articoli 152 del Codice privacy e 10 del decreto legislativo 150/2011, il provvedimento può essere opposto con ricorso presentato al tribunale ordinario del luogo in cui ha sede (o risiede) il titolare del trattamento), entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

By the book, seguendo la linea tracciata dal Garante, il tribunale competente sarebbe quello di Roma.

Nel frattempo, Rousseau dovrà astenersi da qualunque altro trattamento che non sia finalizzato alla consegna dei dati al MoVimento, nel termine di 5 giorni, a partire da oggi.

Conclusioni

La vicenda boccaccesca sulla titolarità/appartenenza dei dati degli iscritti al MoVimento è la dimostrazione chiarissima di come la compliance sul trattamento dei dati ed i rapporti nascenti dalla stessa debbano essere definiti in modo chiaro, univoco e professionale.

La situazione che ha interessato il MoVimento può certamente presentarsi nel contesto di rapporti tra soci di una srl o di uno studio professionale: chi scrive parla per esperienza diretta… di alcuni clienti.

 

 

 

 

 

 

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4