[doc. web n. 9936247]

Provvedimento del 31 agosto 2023

Registro dei provvedimenti
n. 365 del 31 agosto 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo del sig. XX;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’attività istruttoria e l’avvio del procedimento.

Con il reclamo del 15 dicembre 2022, il sig. XX rappresentava a questa Autorità di aver ricevuto, dall’Associazione ContiamoCI! ETS, di seguito “l’Associazione”, in data 9 agosto 2022, una comunicazione dall’indirizzo info@contiamoci.eu contenente l’informazione relativa alla scadenza dell’iscrizione, alla quale era poi seguito il rinnovo automatico della stessa, nonostante il reclamante avesse già richiesto precedentemente, in data 28 ottobre 2021, la cancellazione dei propri dati personali e l’Associazione avesse confermato l’eliminazione dei dati dell’interessato, con una e-mail, in data 13 gennaio 2022.

Con la nota del 20 febbraio 2023, questa Autorità invitava l’Associazione a fornire un riscontro in ordine a quanto rappresentato dal reclamante.

Con la comunicazione del 27 febbraio 2023, l’Associazione dichiarava che “il sig. XX è stato in data 25 febbraio 2023 cancellato dal libro dei soci dell’associazione medesima”, allegando al riscontro la foto del libro soci attestante l’avvenuta la cancellazione.

Sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, l’Ufficio, con la nota del 14 marzo 2023, notificava all’Associazione l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione dell’art. 17, par. 1 del Regolamento. Con la medesima nota la Associazione veniva invitata a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

In data 10 aprile 2023 l’Associazione faceva pervenire i propri scritti difensivi, precisando che: “l’Associazione ContiamoCI! ETS è stata costituita in data 22 giungo 2021; il Signor XX ha provveduto a richiedere la cancellazione dei propri dati personali, in data 28 ottobre 2021; cancellazione confermata in data 13 gennaio 2022; l’Associazione opera attraverso il supporto di personale volontario per tutti gli adempimenti a cui la stessa deve provvedere, come la gestione delle banche dati, dei finanziamenti e delle richieste di esercizio diritti a norma Artt. 12-22 Regolamento Ue 2016/679; il volontario incaricato, a fronte della richiesta di cancellazione ricevuta dal Signor XX ad ottobre 2021, doveva procedere alla cancellazione dei suoi dati dagli archivi dell’Associazione. Questa era la procedura prevista in quel momento e il volontario ha comunicato internamente di avere provveduto; nello stesso periodo, alla fine dell’anno 2021 l’Associazione decise di rinnovare gratuitamente l’iscrizione per l’anno successivo, a tutti gli associati. L’attività di gestione delle banche dati, in quella fase, era strettamente correlata alle adesioni (nuove o rinnovate) e al relativo pagamento della quota. Avendola offerta gratuitamente, la gestione della banca dati è stata limitata al mantenimento dei contatti acquisiti. Solo in agosto 2022 abbiamo provveduto a ricontattare gli iscritti per il rinnovo. In questa occasione è stato coinvolto dalla richiesta anche il Signor XX, il cui dato non risultava cancellato, per errore. Al ricevimento della nostra richiesta di rinnovo il Signor XX non ha segnalato nulla all’Associazione, ma ha atteso dicembre per fare la segnalazione all’Autorità Garante. Se avesse rinnovato la richiesta a noi, sarebbe emerso l’errore che avremmo immediatamente corretto, escludendo il suo contatto dalla lista di richieste rinnovo adesioni e cancellando i suoi dati.”

Il titolare del trattamento, inoltre, dichiarava che “l’Associazione ha ora come modus operandi la seguente procedura: se un iscritto non esegue il pagamento del rinnovo della quota associativa, l’associato rimane in uno stato particolare, detto “inattivo” e viene invitato a pagare la quota di associato, a fine anno. Se il pagamento non avviene, gli associati “inattivi” vengono inseriti, minimizzando i dati mantenuti, in una lista “disiscritti”. Il dato, in stato “disiscritto” non comporta nessuna attività se non la minimizzazione dei dati trattati e viene conservato esclusivamente per possibili esigenze probatorie dell’Associazione. La cancellazione fisica del dato avviene dopo 10 anni, a meno che non siano comunicate specifiche richieste di cancellazione. In quel caso, il dato rimane esclusivamente presente nel registro soci.

Il dato del Signor XX si è trovato in situazione di “inattivo” in un periodo in cui l’Associazione ContiamoCi! ETS aveva deciso di rinnovare gratuitamente tutte le quote dei propri iscritti, anche se “inattivi”. Questa operazione come detto, ha riguardato anche il Signor XX, i cui dati risultavano nella banca dati dell’Associazione anche se “inattivo”. I dati personali dopo la richiesta di cancellazione, non erano stati cancellati, per errore operativo di un volontario, ma anche perché tale richiesta era avvenuta in un periodo in cui l’Associazione si era costituita da pochi mesi e risultava ancora carente nell’organizzazione e controllo delle attività. Rinnovando automaticamente e gratuitamente tutti gli iscritti, la richiesta del Signor XX non evasa è sfuggita. L’errore della mancata cancellazione dei dati, dietro richiesta esplicita dell’associato è innegabile, ma il tutto è avvenuto in presenza di situazioni tali che si auspica il Garante possa tenere in debita considerazione.

Si chiede pertanto al Garante Privacy, che consideri che la richiesta di cancellazione dei dati personali è avvenuta in un periodo particolare per l’Associazione, ancora in fase di avvio: principalmente l’Associazione ContiamoCI! ETS era stata costituita da pochi mesi, fase durante la quale è innegabile che possano accadere piccoli problemi e dove è facile che qualche dimenticanza possa verificarsi. Inoltre proprio in quel periodo, il Consiglio Direttivo aveva deciso di rinnovare gratuitamente ed in modo automatico, tutte le quote degli associati, per l’anno successivo.

Il Diritto alla cancellazione dei propri dati è uno dei diritti fondamentali che la normativa sulla tutela dei dati riconosce agli interessati ed il titolare dei dati deve provvedere prontamente entro 30 giorni. Di contro l’Associazione ha mantenuto erroneamente il dato del Signor XX nei propri archivi e garantisce che nulla è stato divulgato, trasferito o comunicato a terzi: questo aspetto appare come sostanziale preoccupazione del Signor XX”.

L’Associazione, infine, precisava che “I dati del Signor XX sono stati cancellati da tutti gli archivi, compreso il Libro Soci in data 25 febbraio 2023, come comunicato con la nota del 27 febbraio 2023; l’azione è avvenuta in riscontro alla comunicazione ricevuta dal Garante pur se non coerente con i processi interni delineati. Nel frattempo l’Associazione ha migliorato le proprie procedure interne di compliance GDPR e, più in generale, ha rivisto l’organizzazione e la gestione dei dati degli Associati attraverso l’adozione di procedure dedicate. È inoltre in fase di valutazione l’utilizzo di YesNology, o comunque una piattaforma CMP dedicata, che metta a disposizione degli interessati un frontend da cui modificare autonomamente le proprie preferenze. Ci si scusa con il Garante Privacy e in primis, con lo stesso Signor XX dell’accaduto. L’errore è stato fatto certamente non in mala fede o per recare un danno all’interessato. Il volontario incaricato non ha eseguito la cancellazione in quanto era periodo di rinnovo automatico e la richiesta è stata, nostro malgrado, inavvertitamente trascurata”.

2. Le valutazioni dell’Autorità e l’esito dell’istruttoria.

All’esito delle dichiarazioni rese dall’Associazione nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che, nel caso in esame, l’Associazione nonostante avesse dichiarato all’interessato, in risposta alla sua specifica richiesta, di aver provveduto alla cancellazione dei suoi dati personali, con comunicazione inviata via e-mail in data 13 gennaio 2022, ha continuato a trattare i dati del sig. XX come risulta dalla e-mail, inviata in data 9 agosto 2022, con la quale si comunicava il rinnovo automatico della sua iscrizione all’associazione.

Risulta pertanto accertato che l’Associazione, nonostante la richiesta dell’interessato e l’assenza di ragioni ostative all’accoglimento della medesima, non ha provveduto a effettuare la cancellazione dei dati personali, in violazione dell’art. 17, par. 1, del Regolamento, cancellazione avvenuta solo a seguito dell’intervento di questa Autorità.

Tuttavia, nel corso del procedimento, l’Associazione ha illustrato nel dettaglio le circostanze dell’”errore materiale” che ha determinato il ritardo nel riscontro all’interessato e le scelte volte a migliorare la procedura interna per la gestione delle istanze relative all’esercizio dei diritti ex artt. 15-22 del Regolamento.

Occorre, pertanto, considerare che le sopra esposte circostanze relative alle azioni intraprese dal titolare del trattamento, la collaborazione con l’Autorità nel corso del procedimento e l’assenza di precedenti violazioni per la medesima fattispecie a carico dell’Associazione inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2 e del Considerando 148 del Regolamento.

Alla luce delle predette considerazioni si ritiene che, nel caso in esame, sia pertanto sufficiente ammonire l’Associazione, titolare del trattamento, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, per la violazione delle disposizioni in materia di protezione dei dati personali, con specifico riferimento alla necessità di fornire effettivo riscontro alle istanze di esercizio dei diritti nei termini e con le modalità previsti dall’art. 12 del Regolamento, agevolandone l’esercizio, se del caso, anche attraverso un costante monitoraggio delle misure già adottate.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) dichiara, ai sensi degli artt. 57, par. 1, lett. a) e 83 del Regolamento, l’illiceità del trattamento effettuato da ContiamoCI! ETS, con sede legale in Contrà Do Rode 1 Vicenza, C.F. 95145180246, nei termini di cui in motivazione, per la violazione dell’art. 17, par. 1 del Regolamento, in relazione all’omesso riscontro all’istanza di cancellazione presentata dal reclamante;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce ContiamoCI! ETS sulla necessità di fornire effettivo riscontro alle istanze di esercizio dei diritti nei termini e con le modalità previsti dal richiamato art. 12 del Regolamento, se del caso anche attraverso un costante monitoraggio delle misure già adottate;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 31 agosto 2023

IL PRESIDENTE
Cerrina Feroni

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei