Con provvedimento del 1° giugno 2021, l’Autorità Garante per la protezione dei dati personali ha imposto all’Associazione Rousseau di restituire i dati personali degli iscritti al Movimento 5 stelle.
Come infatti noto, l’Associazione Rousseau ha avuto durante questi anni il compito di gestire ed amministrare la piattaforma digitale politica – tra cui il sistema di e-voting – a cui gli iscritti del Movimento 5 Stelle potevano accedere per promuovere le attività politiche del Movimento oltre che gestire altre attività strumentali del partito.
A seguito del rifiuto dell’Associazione di restituire i dati degli iscritti, il Garante è stato così chiamato in causa dal Movimento per permettere che tutti i dati personali degli iscritti fossero riconsegnati al titolare così da creare una nuova piattaforma con l’ausilio di terze società. Nel corso della sua istruttoria, il Garante ha ravvisato altresì che l’Associazione nel 2016 era stata nominata dal Movimento 5 Stelle quale responsabile del trattamento ai sensi dell’art. 28 del GDPR, stante il loro ruolo di ausilio informatico prestato per l’operatività della piattaforma degli iscritti.
L’imposizione del Garante all’Associazione nasce da una chiara e incontrovertibile norma presente all’interno del Regolamento. Infatti, agendo quale responsabile del trattamento, l’Associazione era tenuta a restituire tutti i dati trattati per conto del titolare su richiesta di quest’ultimo così come disciplinato dall’art. 28, par. 3, lett. g) del GDPR, che impone – per l’appunto – al responsabile di restituire o cancellare i dati su scelta del titolare del trattamento, dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati. È fatto noto come il rapporto contrattuale dei due soggetti sia venuto meno a seguito degli ultimi sviluppi politici del nostro paese.
Nel citato provvedimento, l’Autorità ha dato atto del rapporto di titolarità-responsabilità delle parti e ha imposto così la restituzione dei dati personali degli iscritti al Movimento entro 5 giorni dall’emanazione del provvedimento. In aggiunta, il Garante ha imposto altresì all’Associazione la restituzione dei domini web riconducili al Movimento, ovvero i siti movimento5stelle.it e tirendiconto.it.
A sostegno del provvedimento, il Garante ha infatti ritenuto circostanza incontestata che il Movimento debba ritenersi il titolare del trattamento; è di conseguenza pacifico che, in tale qualità, abbia diritto di disporre dei dati personali degli iscritti per utilizzarli, limitatamente al perseguimento delle proprie finalità. Tali dati, pertanto, potranno essere utilizzati per il perseguimento delle sole finalità istituzionali del Movimento per le quali tali dati sono stati ad esso conferiti.
Infine si segnala come il provvedimento dell’Autorità ricada nei provvedimenti previsti dall’art. 58, par.2, lett. d) del GDPR, ovvero la possibilità di ingiungere ad un titolare o ad un responsabile di dare attuazione ad una determinata norma del Regolamento; in questo caso, come già indicato, il Garante ha imposto all’Associazione di restituire i dati degli iscritti al movimento, fermo restando i dati di cui l’Associazione risulta essere titolare autonomo del trattamento.
Fonte: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9592011