Provvedimento del 1° ottobre 2020 [9501845]
Provvedimento del 1° ottobre 2020 [9501845]
Condividi[doc. web n. 9501845]
Provvedimento del 1° ottobre 2020
Registro dei provvedimenti
n. 170 del 1° ottobre 2020
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il provvedimento in materia di propaganda elettorale e comunicazione politica adottato dal Garante in data 18 aprile 2019 e preso atto delle risultanze dell’attività di relativo monitoraggio avviata dall’Ufficio;
VISTE, in particolare, le notizie di stampa del XX secondo le quali sarebbero stati inviati dei messaggi SMS alle numerazioni telefoniche contenute nella rubrica dell’organizzazione sindacale XX al fine di promuovere la candidatura alle elezioni politiche europee, svoltesi in data XX;
VISTA la nota del 17 giugno 2019 con la quale XX, responsabile del Sindacato XX, ha dichiarato di aver utilizzato “in data XX lo strumento Multimessenger dell’organizzazione sindacale per inviare un invito agli iscritti XX all’iniziativa unitaria: XX con i candidati sindaci della zona di XX (XX)” e di avere “in data XX, riutilizzato lo stesso strumento per inviare un ulteriore invito personale a [suo] nome con una indicazione di voto a supporto di lista e candidato”;
VISTA la nota dell’Autorità del 30 ottobre 2019 (prot. n. 37224) con la quale, ai sensi dell’art. 166, comma 5, del Codice, è stato comunicato a XX ed alla XX di XX, nella loro qualità di titolari del trattamento, l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e sono state notificate le presunte violazioni di legge, individuate, nel caso di specie, nell’utilizzo delle numerazioni telefoniche contenute nell’indirizzario dell’organizzazione sindacale per l’invio di SMS di propaganda elettorale senza adeguata base giuridica ed idonee informazioni all’interessato, trattamento effettuato in maniera non conforme ai principi base di liceità e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), ed in violazione degli artt. 6, par. 1, lett. a) e 13 del Regolamento, nonché, in via autonoma, da un soggetto al di fuori del mandato ricevuto dall’organizzazione detentrice dei dati in questione, in assenza di misure tecniche ed organizzative da parte di quest’ultima, in violazione dell’art. 5, par. 1, lett. a), dell’art. 6, par. 1, lett. a), dell’art. 13 e dell’art. 32 del Regolamento;
VISTE le note di replica con le quali, in data 29 novembre 2019, XX, nella persona del suo XX, nel fornire il riscontro richiesto ha precisato, anche mediante produzione documentale, quanto segue:
a) l’eventuale violazione sarebbe stata commessa non dalla XX, bensì dallo XX di XX;
b) i messaggi SMS di propaganda elettorale oggetto di contestazione sono stati due: il primo inviato in data XX e “riguardante l’invito agli iscritti XX all’iniziativa unitaria XX con i candidati sindaci della zona di XX (XX)” ed il secondo, inviato in data XX, “riguardante un invito personale a nome del sig. XX con una indicazione di voto a supporto di lista e candidato”;
c) il primo messaggio dovrebbe essere considerato lecito in quanto compatibile con le finalità “formative ed informative che sono proprie dei sindacati”, così come previste nello statuto dello XX, peraltro espressamente richiamato nelle informazioni rese agli interessati ai sensi dell’art. 13 del Regolamento;
d) il secondo messaggio, inviato a titolo personale da XX, XX dello XX di XX, integrerebbe, invece, a “a tutti gli effetti un messaggio di propaganda elettorale per il quale lo tesso sig. XX ha fatto ammenda”;
e) detti messaggi sono stati inviati via SMS “mediante un sistema multimessnger adoperato su base regionale dallo XX e denominato XX, il quale risultava protetto da adeguate misure di sicurezza volte a prevenire l’accesso da parte di persone non autorizzate”, misure di cui viene dato conto nel dettaglio;
f) il XX era in possesso delle credenziali di accesso al sistema in virtù del ruolo (XX) ricoperto nello XX;
g) lo XX aveva adottato anche adeguate misure organizzative atteso che “tenuto conto della categoria particolare dei dati ex art. 9 GDPR, si era provveduto a fare degli interventi formativi mirati proprio affinché tutti i soggetti che trattano dati fossero istruiti in merito ai requisiti previsti dalla legge e alle procedure migliori per garantire la sicurezza dei dati e dei sistemi”;
h) lo XX, non appena venuto a conoscenza del trattamento illecito dei dati degli iscritti posto in essere dal XX, lo ha immediatamente deferito alla Commissione di Garanzia, la quale ha deliberato nei confronti dello stesso una sanziona di biasimo;
RILEVATO che il punto 2.a del provvedimento in materia di propaganda elettorale e comunicazione politica adottato dal Garante in data 18 aprile 2019 (in www.garanteprivacy.it, doc web n. 9105201) indica espressamente che enti, associazioni ed organismi che non perseguono esplicitamente scopi di natura politica possono trattare i dati dei propri iscritti per iniziative di propaganda elettorale e connessa comunicazione politica, in qualità di titolari del trattamento, “soltanto qualora acquisiscano il consenso dell’interessato e previa indicazione in modo chiaro nell’informativa dell’intenzione di utilizzare i dati personali degli aderenti al predetto scopo”, conformemente a quanto previsto dagli artt. 6, par. 1, lett. a), 9, par. 2, lett. a) e 13 del Regolamento;
RILEVATO che il sig. XX ha utilizzato la rubrica degli iscritti dello XX di XX per inviare due distinti messaggi, il primo dei quali, inviato nella sua qualità di XX dello XX di XX, pur non sembrando rientrare propriamente nelle finalità previste dallo Statuto dello XX, può essere considerato non lesivo del corretto svolgimento della campagna elettorale atteso che si è trattato di un invito ad un evento informativo (presentazione di tutti i candidati sindaci della zona di XX su iniziativa congiunta con altre organizzazioni sindacali);
RILEVATO che, al contrario, il secondo SMS è stato inviato dal sig. XX, in via autonoma rispetto alla qualifica ricoperta all’interno dello XX, al preciso e dichiarato fine di promuovere la candidatura di XX senza il consenso libero, specifico ed informato degli interessati per tale finalità;
RITENUTO che, in ordine a detto secondo messaggio, il sig. XX debba essere considerato autonomo titolare del trattamento in quanto ha determinato, nel momento in cui ha utilizzato i dati personali degli iscritti allo XX di XX a scopo di propaganda elettorale, finalità di trattamento diverse ed indipendenti rispetto a quelle statutarie dello XX;
PRESO ATTO che il sig. XX, nella citata nota del 17 giugno 2019, ha riferito di aver “agito con leggerezza, senza pensare che tale [suo] comportamento potesse effettivamente essere considerato improprio o addirittura illegale, non ostante il percorso formativo seguito in XX dal divieto di trattare i dati per finalità diverse da quelle meramente sindacali, nel [suo] convincimento che le finalità elettorali fossero parte della mission sindacale”;
RILEVATO che le misure di sicurezza sia tecniche che organizzative, in particolare l’attività di formazione nei confronti del personale, adottate dallo XX sono da considerare idonee ed adeguate a garantire la riservatezza dei dati personali degli iscritti al sindacato e che la comunicazione in questione è stata effettuata in forma consapevole dal Sig. XX;
RILEVATO, quindi, che tanto in relazione alle attività compiute da quest’ultimo per conto dello XX, quanto a quelle effettuate a titolo personale ed autonomo, non siano ravvisabili violazioni della disciplina rilevante in materia di protezione dei dati personali da parte dello XX e ritenuto pertanto che riguardo ad esso possa procedersi all’archiviazione del procedimento;
RILEVATA, invece, l’illiceità del trattamento dei dati personali degli iscritti allo XX di XX effettuato dal Sig. XX ai fini dell’invio di un messaggio SMS di propaganda elettorale in quanto realizzato in maniera non conforme ai principi di liceità e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), ed in violazione degli artt. 6, par. 1, lett. a) e 13 del Regolamento;
CONSIDERATO, tuttavia, rispetto a tale violazione, che:
- si è trattato di una sola comunicazione;
- non sono pervenuti reclami o segnalazioni all’Autorità in merito ai fatti in esame;
- il sig. XX ha collaborato fattivamente con l’Autorità nell’ambito delle attività istruttorie ed ha riconosciuto le proprie responsabilità.
RITENUTO, pertanto, che in relazione all’art. 83, par. 2, secondo periodo ed al considerando 148 del Regolamento, le violazioni in questione possano essere qualificate di grado “minore”;
RITENUTO, pertanto, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, di dover ammonire XX, titolare del trattamento, in merito alla necessità di attenersi al rispetto della normativa in tema di protezione dei dati personali in occasione del trattamento dei dati personali degli iscritti al sindacato di cui è rappresentante;
RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000
RELATORE il prof. Pasquale Stanzione;
TUTTO CIÒ PREMESSO IL GARANTE
a) dispone l'archiviazione del procedimento sanzionatorio amministrativo di cui alla notifica della violazione effettuata in data 30 ottobre 2019, ai sensi dell'art. 166, comma 5, del Codice e dell'art. 58, par. 1, lett. d) del Regolamento, limitatamente alla posizione del XX di XX, per le ragioni di cui in motivazione;
b) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta da XX come descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 13 del Regolamento in relazione all’utilizzo delle numerazioni telefoniche contenute nell’indirizzario dell’organizzazione sindacale per l’invio di SMS di propaganda elettorale senza adeguata base giuridica ed idonee informazioni all’interessato;
c) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce XX, in merito alla necessità di attenersi al rispetto della normativa in materia di protezione dei dati personali in occasione del trattamento dei dati personali degli iscritti al sindacato di cui è rappresentante.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni, se il ricorrente risiede all’estero.
Roma, 1° ottobre 2020
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL VICE SEGRETARIO GENERALE
Filippi
