Il Garante ha ravvisato la necessità di adottare un provvedimento di urgenza in cui ingiunge a Rousseau di non effettuare ulteriori trattamenti dei dati degli iscritti al MoVimento5Stelle (M5S) e di consegnare i dati al reggente, Vito Crimi entro il 5 giugno. Vediamo perché è stato necessario farlo e quali conseguenze.
Il MoVimento è il titolare del trattamento, mentre Rousseau è il responsabile del trattamento
La sostanza del provvedimento può essere riassunta così: i dati appartengono all’Associazione MoVimento 5 Stelle, mentre il responsabile del trattamento, per designazione effettuata dal garante del MoVimento, Beppe Grillo, nel 2016, è l’Associazione Rousseau.
Posto che il titolare del trattamento può, ai sensi dell’articolo 28, Comma 3, lettera g), del Regolamento UE 16/679 (G.D.P.R.) richiedere al responsabile di restituire tutti i dati, senza alcuna condizione, limitazione o eccezione di sorta, sul solo presupposto di una propria scelta discrezionale, non sembrerebbe esserci discussione.
La questione però si è complicata perché è sub iudice l’individuazione del legale rappresentante del MoVimento, ragion per la quale è pendente un giudizio avanti al Tribunale di Cagliari.
Per superare la questione, il MoVimento, che ha presentato una segnalazione ai sensi dell’articolo 144 del Codice privacy il 12 maggio 2021 (integrandola il 19 maggio 2021), ha chiesto e prodotto un parere pro veritate ad un notaio.
Nel parere si afferma con chiarezza che il legale rappresentante è, a tutti gli effetti, Vito Crimi, pur restando aperto il giudizio avanti al tribunale sardo.
Il Garante, che in altre occasioni aveva ritenuto Vito Crimi legittimato come legale rappresentante del MoVimento, ha accolto la tesi ed emesso il provvedimento nei confronti di Rousseau.
Garante privacy su Movimento5Stelle, le ragioni dell’urgenza
Il Garante per il trattamento dei dati personali ha affermato che sussistessero ragioni d’urgenza perché, nelle more, l’Associazione ha effettuato due distinti trattamenti: uno per richiedere ai parlamentari iscritti al MoVimento il pagamento delle quote previste e uno con un invio massivo agli iscritti per richiedere l’autorizzazione rivolgersi al Responsabile per la protezione dati per chiedere il trasferimento dei loro dati dall’Associazione MoVimento 5 Stelle all’Associazione Rousseau.
In altri termini, Rousseau ha contattato direttamente gli iscritti dando loro indicazione di trasferire i dati dal MoVimento a Rousseau, con fine di far diventare quest’ultima titolare effettivo.
A quanto si legge dal provvedimento del Garante, Rousseau ha negato tout court la paternità del dominio da cui è stata inviata la mail di sollecito ai parlamentari e a negare di aver inviato alcuna email con indicazioni agli iscritti.
Nel frattempo, comunque, il MoVimento aveva designato un altro responsabile per il trattamento dei dati e il responsabile per la protezione dei dati (R.P.D. o D.P.O.) aveva segnalato al Garante che vi erano due distinte persone fisiche che affermavano di essere titolari effettivi del trattamento.
Gli scenari futuri
La decisione d’urgenza è per sua natura precaria, perché presa da organo monocratico, e deve essere ratificata dal Collegio del Garante nella riunione immediatamente successiva e, comunque, non oltre il tredicesimo giorno dall’emissione del provvedimento.
Ricorso al tribunale?
Ai sensi dell’articolo 78 del Regolamento, nonché degli articoli 152 del Codice privacy e 10 del decreto legislativo 150/2011, il provvedimento può essere opposto con ricorso presentato al tribunale ordinario del luogo in cui ha sede (o risiede) il titolare del trattamento), entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.
By the book, seguendo la linea tracciata dal Garante, il tribunale competente sarebbe quello di Roma.
Nel frattempo, Rousseau dovrà astenersi da qualunque altro trattamento che non sia finalizzato alla consegna dei dati al MoVimento, nel termine di 5 giorni, a partire da oggi.
Conclusioni
La vicenda boccaccesca sulla titolarità/appartenenza dei dati degli iscritti al MoVimento è la dimostrazione chiarissima di come la compliance sul trattamento dei dati ed i rapporti nascenti dalla stessa debbano essere definiti in modo chiaro, univoco e professionale.
La situazione che ha interessato il MoVimento può certamente presentarsi nel contesto di rapporti tra soci di una srl o di uno studio professionale: chi scrive parla per esperienza diretta… di alcuni clienti.