1° giugno 2021: Il presidente del Collegio del Garante per la protezione dei dati personali, prof. Pasquale Stanzione, ha ordinato in via d’urgenza all’Associazione Rousseau di consegnare entro cinque giorni i dati personali degli iscritti alla nota piattaforma al Movimento 5 Stelle.
I partiti politici sono sempre più costituiti dai dati personali delle persone fisiche che gli stessi possono legittimamente trattare: e non è affatto una situazione scontata.
Un connubio vitale che non è più sottovalutabile
L’imprescindibile connubio che esiste tra i dati personali delle persone fisiche e le realtà associative o partitiche presenti in Italia è sempre più evidente e, a volte, può assumere forme o apparenti devianze dai contorni frastagliati e preoccupanti, se non anche inquietanti rispetto alla vitale importanza che tale trattamento riveste.
L’ordine di consegna dei dati rivolto a Rousseau
È infatti del primo giugno la notizia che il Presidente del Collegio dell’autorità Garante per la protezione dei dati personali, il Prof. Pasquale Stanzione, mediante un provvedimento monocratico assunto in via d’urgenza, ha ordinato all’Associazione Rousseau di consegnare al Movimento 5 Stelle, quale ritenuto “titolare del trattamento”, nelle forme e secondo le modalità ivi indicate, tutti i dati personali degli iscritti al Movimento medesimo, di cui l’Associazione sia (da ritenersi mera) “responsabile del trattamento”, ingiungendo a quest’ultima di astenersi da ogni ulteriore trattamento dei dati personali in questione.
Una vicenda importante e dai seri risvolti potenzialmente sanzionatori
La vicenda non è di scarso peso poiché l’esistenza stessa delle associazioni politiche, nonché di tutte quelle organizzazioni che alle stesse offrono, o dichiarano di offrire i propri servizi diretti o indiretti, dipende dalla stessa possibilità di poter trattare i dati personali.
Per rendere comprensibile la delicatissima vicenda in oggetto anche ai non “addetti ai lavori” vi sono alcuni concetti di base che vanno meglio chiariti.
Vi è da osservare in primo luogo che, in generale, oggi, in base all’art. 9 del Regolamento generale UE 2016/679, i dati personali che rilevino, anche indirettamente, le opinioni politiche sono vietati da trattare se non in presenza di alcune condizioni che tale divieto possono far venir meno. Una di queste condizioni è, ad esempio, prevista dal paragrafo 2 lettera d) del citato art. 9 e riguarda i dati trattati dalle associazioni politiche nell’esercizio delle legittime finalità che le stesse si sono date e solo relativamente ai dati personali dei membri, ex membri o delle persone che hanno regolari contatti con le stesse realtà, ma pur sempre in presenza di adeguate garanzie e senza mai comunicare i detti dati all’esterno di esse in assenza dell’acquisizione libera e informata del consenso dei detti individui.
Ogni ipotesi che si discosti dall’anzidetta evenienza di “disapplicazione” del divieto generale, in assenza di una condizione che legittimi il trattamento, può comportare l’applicazione di severe sanzioni pecuniarie, sino a un massimo di venti milioni di euro; ma anche l’eventuale applicazione di sanzioni penali che possono in certi casi comportare la reclusione sino a sei anni: insomma una serie di evenienze disincentivanti dall’adottare comportamenti disinvolti nel trattamento di tali categorie di dati personali per nulla da sottovalutare.
L’oggetto del contendere risale al 2016
Il contendere tra l’associazione Rousseau e il Movimento 5 Stelle circa la possibilità di trattare i dati personali degli iscritti ha preso le mosse dal fatto che, a far data dal 2016, l’Associazione Rousseau ritiene di poter rivestire il ruolo di responsabile del trattamento dei dati in forza di una asserita designazione operata da parte del sig. Giuseppe Grillo e, quindi, di poter detenere i dati personali degli iscritti al Movimento 5 Stelle in ragione di tale assunta qualità e, in parte, anche quale autonomo titolare del trattamento rispetto a dei servizi che la medesima Associazione offrirebbe a una serie di iscritti.
Per comprendere il dissidio in atto tra Rousseau e il Movimento 5 stelle bisogna spiegare i due sopra accennati ruoli. Il rapporto che giuridicamente corre tra un responsabile e un titolare del trattamento è quello tra chi, quale “responsabile”, tratta i dati per conto di un altro soggetto, seguendone le istruzioni e attuandone i già decisi scopi, ove, invece, il “titolare” è chi decide a monte le finalità e i mezzi del trattamento incaricando eventualmente un responsabile di compiere determinate operazioni di trattamento rispetto ad una serie di dati personali.
Le respinte contestazioni sollevate dall’Associazione Rousseau a propria difesa e l’ordine di consegna pressoché immediata dei dati personali
Nel caso specifico l’Associazione Rousseau, definitasi in parte responsabile del trattamento e in parte pure titolare dei dati degli iscritti, ha sollevato una serie di contestazioni piuttosto formali (o formalistiche) per tentare di opporsi alla richiesta inoltrata in forma di diffida dal Movimento 5 Stelle, onde ottenere la consegna dei dati personali degli iscritti.
Tutte contestazioni ritenute, però, prive di pregio da parte del Presidente dell’Autorità Garante poiché, in particolare, lo stesso, prima di assumere il proprio provvedimento monocratico d’urgenza, ha in sintesi valutato che:
- il responsabile del trattamento, “su scelta del titolare del trattamento”, è tenuto a cancellare o a restituire tutti i dati personali “dopo che è terminata la prestazione dei servizi relativi al trattamento” e a provvedere alla cancellazione delle copie esistenti “salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati”;
- è incontestato che il Movimento sia il titolare del trattamento, e che, in tale qualità, abbia diritto di disporre dei dati personali degli iscritti per utilizzarli, limitatamente al perseguimento delle proprie finalità;
- ricorrano i presupposti per un intervento correttivo dell’Autorità e ritenuto quindi di dover ingiungere all’Associazione Rousseau di provvedere, quale responsabile del trattamento, a dare consegna al Movimento 5 Stelle, nelle forme e secondo le modalità indicate dal titolare medesimo, di tutti i dati personali degli iscritti al Movimento, di cui l’Associazione risulti responsabile, entro 5 (cinque) giorni dal ricevimento del presente provvedimento (ciò fermo restando l’ulteriore trattamento dei dati personali di quegli iscritti rispetto ai quali l’Associazione Rousseau sia al contempo autonomo titolare del trattamento).
Conclusioni
La brevemente descritta vicenda, ben lontana dall’essere stata definitivamente decisa e, men che mai dal ritenersi conclusa, fa trasparire tutta una serie di aspetti e tematiche giuridiche molto delicate e che, vieppiù, potrebbe comportare l’applicazione di sanzioni pecuniarie rilevanti nonché, eventualmente, pure a potenziale profilo penalistico (ove, ad esempio, non venisse assicurata la leale collaborazione all’autorità Garante), rispetto a un tema oggi divenuto prioritario: l’imprescindibile necessità di una certa classe politica di gestire una quantità sempre più importante di dati personali delle persone fisiche per poter rimanere all’interno dei protagonismi della nomenclatura del Paese.
Al proposito sembra però doveroso ricordare che dietro a ogni (apparentemente “freddo”) dato personale vi è sempre una persona fisica in carne e ossa che ha il diritto fondamentale alla protezione dei dati personali che la riguardano poiché, in realtà, sono solo questi che permettono oggi alla stessa di partecipare ad ogni tipo di relazione della nostra realtà caratterizzata da una sempre più ingombrante e spesso finanche pericolosa sofisticatezza digitale.
Avv. LORENZO TAMOS
