[doc. web n. 9828076]

Ordinanza ingiunzione nei confronti di Associazione Rescue Drones Network ODV - 6 ottobre 2022

Registro dei provvedimenti
n. 325 del 6 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto n. 24331/2 del 3 maggio 2022 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti dell’Associazione Rescue Drones Network ODV, (di seguito “RDN” o “l’Associazione”), in persona del legale rappresentante pro-tempore, con sede legale in Piacenza, via Verdi 13, C.F. 91120900336.

Il procedimento trae origine da una istruttoria avviata dall’Autorità, a seguito della ricezione di un reclamo con il quale il signor XX riferiva di essere stato uno dei soci fondatori dell’Associazione e di avere avuto, come tutti i soci, la disponibilità di un account nominativo di posta elettronica con dominio “rescuedrones.net”. Riferiva altresì che in data 6 ottobre 2021, veniva informato dal rappresentante legale di RDN della adozione nei suoi confronti di un provvedimento di natura disciplinare con conseguente perdita dello status di socio. Il reclamante, a seguito di tale comunicazione, si avvedeva che il proprio account di posta elettronica, attribuito dall’Associazione, non era più da lui accessibile cosicché faceva richiesta al Presidente di poter tornare nella sua temporanea disponibilità al fine di recuperare mail e altri documenti per predisporre l'azione di opposizione avverso il provvedimento disciplinare e anche per poter rappresentare agli altri soci le sue ragioni. Dall’Associazione non perveniva alcun riscontro ma solo un avviso di sistema, in data 8 ottobre 2021, che attestava l'avvenuto cambiamento della password di accesso all’account del sig. XX. Il reclamante, nella stessa giornata dell’8 ottobre 2021 rappresentava all’Associazione di non aver avuto riscontro alla richiesta di ripristino dell’account, al fine di recuperare la propria posta, e che tale condotta configurava una violazione delle disposizioni in materia di protezione dei dati personali. Decorso un ulteriore periodo senza riscontri da parte dell’Associazione, il sig. XX proponeva pertanto il sopra indicato reclamo all’Autorità, lamentando la violazione delle disposizioni del Regolamento in tema di esercizio del diritto di accesso ai propri dati (art. 15, par. 3).

1.2. Le richieste di informazioni formulate dall’Autorità

L’Ufficio, una volta ricevuto il reclamo, provvedeva ad avviare la relativa istruttoria invitando la Società a fornire la propria versione dei fatti ed eventualmente ad aderire alle richieste del reclamante.

Il Presidente dell’Associazione, sig. Jacopo Giudice, forniva riscontro nei termini rappresentando che:

- “in data 05.10.2021, all’esito del procedimento disciplinare avviato [nei confronti del sig. XX], il Consiglio Direttivo ne ha deliberato l’esclusione dall’associazione, dandone formale comunicazione via PEC al Diretto interessato in data 06.10.2021”;

- “lo stesso 06.10.2021 ho coerentemente dato incarico ai gestori per RDN della piattaforma Google Gsuite […] di escludere l’account del XX dalla possibilità di accesso e utilizzo […];

- “riscontrata un’anomalia di sistema (la dimensione dei documenti risultava pari a “0 byte” con “n. 0 documenti posseduti” […] si è reso necessario un secondo accesso di natura strettamente tecnica al solo scopo di verificare la congruenza del numero e della dimensione dei documenti, così da verificare che nulla fosse andato perso e che tutto fosse quindi recuperabile un domani qualora nel diritto del XX. A tal fine si è reso necessario il cambio di password”;

- “Eseguita detta verifica tecnica, durata peraltro pochissimi minuti, si è quindi provveduto immediatamente a sospendere nuovamente l’account e da allora non vi sono stati altri accessi, come pure si evince dal log di sistema”.

Alle informazioni rese dall’Associazione replicava il reclamante, in primo luogo evidenziando che “tutto l’archivio personale collegato al mio account nominativo (centinaia di documenti) risulta cancellato; il Presidente fa riferimento ad una “anomalia di sistema” senza precisare cosa e senza dimostrare che nessuno ha provocato la distruzione dei dati personali; non precisa neppure se i dati sono poi stati recuperati” e poi rappresentando che “c’è stato un “cambio di password” (confermato dal Presidente nella nota richiamata) cosa che è riservata esclusivamente alla persona interessata. È del tutto evidente che tale nuova password era in possesso di qualcuno diverso dal sottoscritto, qualcuno che aveva quindi pieno accesso a tutti i miei dati personali”.

1.3. Contestazione delle violazioni

L’Ufficio, a conclusione dell’istruttoria, ha preso atto che Rescue Drones Network ODV, titolare del trattamento dei dati dei propri soci, ha effettuato trattamenti di dati personali volti, dapprima, ad attribuire al sig. XX, nella sua qualità di socio, un account di posta elettronica da utilizzare per le finalità associative, e poi, a seguito del provvedimento di revoca dello status di socio, a inibire a quest’ultimo l’accesso al predetto account. Ha altresì rilevato che nonostante le ripetute richieste del sig. XX, nelle quali è stato fatto esplicito riferimento alla disciplina in materia di protezione dei dati personali e alla volontà del reclamante di esercitare il diritto di accesso di cui all’art. 15, par. 3, del Regolamento al fine di rientrare in possesso della propria posta, l’Associazione non ha preso in considerazione le richieste, che sono quindi rimaste inevase così come non risulta essere stato accolto l’invito dell’Autorità a valutare l’adesione alle richieste di accesso del sig. XX.

L’Ufficio ha pertanto adottato il sopra richiamato atto di avvio del procedimento amministrativo n. 24331/2 del 3 maggio 2022, con il quale ha contestato a RDN la seguente ipotesi di violazione:

- artt. 12 e 15, par. 3, del Regolamento, per non avere consentito al reclamante di esercitare il diritto di accesso ai propri dati personali, con riferimento all’account di posta elettronica attribuito dall’Associazione al reclamante medesimo.

2. OSSERVAZIONI DEL TITOLARE

La parte ha fatto richiesto di audizione davanti all’Autorità, in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019, audizione che si è svolta il 1° giugno 2022.

L’Associazione ha ribadito che l’esclusione del reclamante dal novero dei soci di RDN impedisce al medesimo di esercitare ancora funzioni associative e di servirsi liberamente non solo dell’account ma anche dei dati in esso contenuti. Tali dati infatti sono da ritenersi non di personale pertinenza del reclamante ma di RDN. L’Associazione si è detta in ogni caso disponibile, previa indicazione specifica da parte del XX dei documenti di cui lo stesso voglia entrare in possesso, “di metterli a disposizione ma comunque è necessario che il reclamante provveda ad inoltrare una specifica richiesta e un altrettanto esaustiva motivazione: ciò, si ribadisce, in considerazione del fatto che il sig. XX, rispetto all’Associazione, è, ad oggi, un terzo soggetto estraneo”.

RDN ha altresì osservato che nel caso in cui il sig. XX avesse tenuto messaggi personali nell’account di posta dell’Associazione, ciò costituirebbe di certo una violazione delle norme statutarie perché, si ribadisce, l’account aveva solo fini associativi.

Con riferimento, infine, all’episodio dell’accesso all’account di posta con conseguente modifica della password, lamentato dal XX, RDN ha fatto presente che tale accesso è stato realizzato dal dipartimento ICT successivamente alla sospensione dell’account, poiché era stata ravvisata un’anomalia di sistema che valorizzava a zero sia lo spazio di memoria occupato, sia il numero di documenti presenti. L’accesso è durato pochi minuti e il cambio password si è reso necessario perché la funzionalità della password del sig. XX era stata bloccata: una volta entrati e constatato che i valori indicati sulla dimensione dell’account risultavano errati a causa, si presume, di un bug della piattaforma G-Suite, si è provveduto a uscire dall’account senza modificare nulla. Gli esiti dell’accesso sono stati registrati in appositi file di log.

3. VALUTAZIONI DELL’AUTORITÀ

Alla luce di quanto emerso nel corso dell’istruttoria, la vicenda portata all’attenzione con il reclamo del sig. XX può riassumersi così: l’Associazione Rescue Drone Network, dopo aver adottato un provvedimento di esclusione del reclamante dal novero dei propri soci, ha “congelato” l’account di posta elettronica a suo tempo messo a disposizione del medesimo e non ha dato corso alle diverse richieste di accesso ai propri dati personali che il reclamante ha in più occasioni formulato. Tali richieste sono state inequivocabilmente avanzate facendo riferimento alla disciplina in materia di protezione dei dati personali (ad esempio, nella mail del 7 ottobre 2021, indirizzata all’Associazione, il reclamante scrive “Con la presente chiedo di essere messo immediatamente nelle condizioni di recuperare la posta gestita dall’account citato […] In difetto saranno applicate le previsioni del Reg. UE 2016/679 e del Codice Privacy così come modificato dal D. Lgs. 101/2018”).

Che le richieste del reclamante fossero finalizzate ad esercitare il diritto di accesso ai propri dati è stato comunque chiarito sia in sede di reclamo, atto portato a conoscenza dell’Associazione, sia nell’atto di contestazione adottato dall’Ufficio, cosicché appare evidente che il mancato accesso, tuttora perdurante, non sia frutto di un’anomalia delle procedure interne di RDN ma di una consapevole scelta, compiutamente illustrata nel corso dell’audizione.

Tale scelta appare errata in diritto e idonea a determinare un danno ai diritti e alle libertà del reclamante, posto che lo stesso non è stato messo in grado di riappropriarsi delle informazioni personali presenti nell’account dell’Associazione e quindi di ricostruire il patrimonio informativo che nel corso della propria attività di socio ha realizzato nell’ambito di RDN (anche al fine di opporsi al provvedimento di espulsione adottato nei suoi confronti).

Sotto questo profilo deve inoltre evidenziarsi che l’asserita riconducibilità delle informazioni presenti nell’account del sig. XX alla esclusiva pertinenza dell’Associazione, nonché il correlato divieto di utilizzare l’account per finalità personali, non trovano alcun riscontro, sia per il fatto che il sopra richiamato divieto non si rileva nella lettura dello Statuto e del Codice Etico dell’Associazione medesima (presenti in rete alla pagina web https://www.rescuedrones.net/documenti-associativi/), sia perché il titolare non risulta aver chiarito le modalità di utilizzo degli account di posta elettronica da parte dei soci adottando uno specifico disciplinare ovvero redigendo una idonea informativa sul punto.

In ogni caso, deve osservarsi che l’art. 15 del Regolamento stabilisce che “l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali” e l’esercizio di tale diritto non può essere differito o negato, se non in casi particolari oppure qualora la richiesta di accesso si presenti manifestamente infondata o eccessiva, cosa che deve escludersi nel caso in argomento considerato il carattere circoscritto dell’accesso, funzionale a contrastare con strumenti legittimi il provvedimento disciplinare adottato nei confronti del reclamante.

Deve quindi ritenersi confermata la sussistenza della violazione contestata dall’Ufficio.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di RDN in ordine alla seguente violazione:

- artt. 12 e 15, par. 3, del Regolamento, per non avere consentito al reclamante di esercitare il diritto di accesso ai propri dati personali, con riferimento all’account di posta elettronica attribuito dall’Associazione al reclamante medesimo.

Accertata altresì l’illiceità delle condotte dell’Associazione con riferimento ai fatti presi in esame, si rende necessario:

- ingiungere a RDN, ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, di soddisfare e dare riscontro alle richieste del reclamante, con riferimento all’esercizio dei diritti di cui all’art. 15 del Regolamento;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di RDN della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

La violazione sopra indicata impone l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di RDN della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00);

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), tenuto conto della natura dei dati trattati, oggetto di tutela costituzionale anche in relazione alla libertà della corrispondenza, e della reiterazione delle condotte omissive da parte di RDN che non ha consentito l’accesso al reclamante nonostante le ripetute richieste, alcune delle quali rimaste prive di riscontro;   

2) quale fattore aggravante, la durata delle condotte poste in essere (art. 83, par. 2, lett. a) del Regolamento), che ha considerevolmente protratto i tempi di evasione del reclamo e del riscontro alle richieste dell’interessato, che ancora non si è realizzato, con potenziale pregiudizio del diritto di difesa in relazione al provvedimento disciplinare adottato nei confronti del reclamante;

3) quali fattori attenuanti da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), la finalità non lucrativa dell’Associazione e il contesto socio-economico generale, caratterizzato da una profonda crisi economica a seguito delle gravi emergenze tuttora in corso.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di associazione, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali di un’Associazione impegnata nell’ambito della Protezione Civile, si ritiene debba applicarsi a RDN la sanzione amministrativa del pagamento di una somma di euro 3.000,00, pari allo 0,025% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte dell’Associazione, nonché degli elementi di rischio per l’esercizio dei diritti degli interessati

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ingiunge a RDN, ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, di soddisfare e dare riscontro alle richieste del reclamante, con riferimento all’esercizio dei diritti di cui all’art. 15 del Regolamento;

b) ingiunge a RDN, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure adottate; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento

ORDINA

all’Associazione Rescue Drones Network ODV, in persona del legale rappresentante pro-tempore, con sede legale in Piacenza, via Verdi 13, C.F. 91120900336, di pagare la somma di euro 3.000,00 (tremila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Associazione, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.000,00 (tremila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 6 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei